Ano ang isang direktoryo ng asset? Paglikha ng mga user account sa Active Directory. Pag-install at pag-configure ng Active Directory

Paano ito makakatulong Aktibong Direktoryo mga espesyalista?

Narito ang isang maliit na listahan ng mga "goodies" na makukuha mo sa pamamagitan ng pag-deploy ng Active Directory:

isang database ng pagpaparehistro ng solong user, na naka-imbak sa gitna sa isa o higit pang mga server; kaya, kapag lumitaw ang isang bagong empleyado sa opisina, kakailanganin mo lamang na lumikha ng isang account para sa kanya sa server at ipahiwatig kung aling mga workstation ang maaari niyang ma-access;
Dahil na-index ang lahat ng mapagkukunan ng domain, ginagawa nitong posible na madali at mabilis na paghahanap para sa mga gumagamit; halimbawa, kung kailangan mong maghanap ng color printer sa isang departamento;
set ng NTFS permissions application, mga patakaran ng grupo at ang delegasyon ng kontrol ay magbibigay-daan sa iyong ayusin at ipamahagi ang mga karapatan sa pagitan ng mga miyembro ng domain;
ginagawang posible ng mga roaming na profile ng user na mag-imbak mahalagang impormasyon at mga setting ng pagsasaayos sa server; sa katunayan, kung ang isang user na may roaming na profile sa isang domain ay umupo para magtrabaho sa isa pang computer at ipinasok ang kanyang username at password, makikita niya ang kanyang desktop na may mga setting na pamilyar sa kanya;
gamit ang mga patakaran ng grupo, maaari mong baguhin ang mga setting ng mga operating system ng user, mula sa pagpayag sa user na magtakda ng wallpaper sa desktop hanggang sa mga setting ng seguridad, at ipamahagi din ang software sa network, halimbawa, Volume Shadow Copy client, atbp.;
Maraming mga programa (proxy server, database server, atbp.) na hindi lamang ginawa ng Microsoft ngayon ay natutong gumamit ng domain authentication, kaya hindi mo na kailangang gumawa ng isa pang user database, ngunit maaaring gumamit ng isang umiiral na;
Ang paggamit ng Remote Installation Services ay nagpapadali sa pag-install ng mga system sa mga workstation, ngunit, sa turn, ay gagana lamang kung ang serbisyo ng direktoryo ay ipinatupad.

At ito ay malayo mula sa buong listahan mga posibilidad, ngunit higit pa sa na mamaya. Ngayon ay susubukan kong sabihin sa iyo ang lohika ng konstruksiyon Aktibong Direktoryo, ngunit muli ay sulit na alamin kung saan ang ating mga anak na lalaki Aktibong Direktoryo- ito ay mga Domain, Puno, Kagubatan, Mga yunit ng organisasyon, Mga grupo ng mga user at computer.

Mga Domain - Ito ang pangunahing lohikal na yunit ng konstruksiyon. Kumpara sa mga workgroup AD domain ay mga grupo ng seguridad na may iisang base ng pagpaparehistro, habang ang mga workgroup ay isang lohikal na samahan ng mga makina. Gumagamit ang AD ng DNS para sa pagbibigay ng pangalan at mga serbisyo sa paghahanap ( Domain Name Server – domain name server), hindi WINS ( Windows Internet Serbisyo ng Pangalan - Serbisyo sa pangalan ng Internet), tulad ng dati mga naunang bersyon N.T. Kaya, ang mga pangalan ng mga computer sa domain ay kamukha, halimbawa, buh.work.com, kung saan ang buh ay ang pangalan ng computer sa work.com domain (bagaman hindi ito palaging nangyayari).

Gumagamit ang mga workgroup ng mga pangalan ng NetBIOS. Upang mag-host ng istraktura ng domain AD posibleng gumamit ng DNS server nang wala Microsoft. Ngunit dapat itong tugma sa BIND 8.1.2 o mas mataas at sumusuporta sa mga talaan ng SRV() gayundin sa Dynamic Registration Protocol (RFC 2136). Ang bawat domain ay may hindi bababa sa isang domain controller na nagho-host sa gitnang database.

mga puno - Ito ay mga multi-domain na istruktura. Ang ugat ng istrukturang ito ay ang pangunahing domain kung saan ka gumagawa ng mga child domain. Sa katunayan, ginagamit ng Active Directory sistemang hierarchical konstruksiyon, katulad ng istraktura ng mga domain sa DNS.

Kung mayroon kaming domain na work.com (first-level domain) at gumawa kami ng dalawang child domain para dito first.work.com at second.work.com (narito ang una at pangalawa ay mga second-level na domain, at hindi isang computer sa domain , tulad ng kaso , na inilarawan sa itaas), napupunta tayo sa isang domain tree.

Ang mga puno bilang isang lohikal na istraktura ay ginagamit kapag kailangan mong hatiin ang mga sangay ng kumpanya, halimbawa, ayon sa heograpiya, o para sa ilang iba pang mga kadahilanan ng organisasyon.

AD tumutulong upang awtomatikong lumikha relasyong may tiwala sa pagitan ng bawat domain at mga child domain nito.

Kaya, ang paggawa ng domain na first.work.com ay humahantong sa awtomatikong organisasyon two-way trust relationship sa pagitan ng parent work.com at child first.work.com (katulad ng second.work.com). Samakatuwid, maaaring ilapat ang mga pahintulot mula sa parent domain sa bata, at vice versa. Hindi mahirap ipagpalagay na magkakaroon din ng mga relasyon sa pagtitiwala para sa mga domain ng bata.

Ang isa pang pag-aari ng mga relasyon sa tiwala ay transitivity. Nakuha namin na ang isang ugnayang pinagkakatiwalaan ay nilikha para sa net.first.work.com na domain na may domain na work.com.

kagubatan - Tulad ng mga puno, sila ay mga istrukturang multi-domain. Pero kagubatan ay isang unyon ng mga puno na may iba't ibang mga domain ng ugat.

Ipagpalagay na magpasya kang magkaroon ng maraming domain na pinangalanang work.com at home.net at lumikha ng mga child domain para sa kanila, ngunit dahil ang tld (top level na domain) ay wala sa ilalim ng iyong kontrol, sa kasong ito maaari kang mag-organisa ng kagubatan sa pamamagitan ng pagpili ng isa sa mga unang antas ng root domain. Ang kagandahan ng paglikha ng kagubatan sa kasong ito ay ang two-way na ugnayan ng tiwala sa pagitan ng dalawang domain na ito at ng kanilang mga child domain.

Gayunpaman, kapag nagtatrabaho sa mga kagubatan at puno, dapat mong tandaan ang mga sumusunod:

hindi ka maaaring magdagdag ng isang umiiral na domain sa puno
Hindi mo maaaring isama ang isang umiiral na puno sa kagubatan
Kapag nailagay na ang mga domain sa isang kagubatan, hindi na sila maaaring ilipat sa ibang kagubatan
hindi ka makakapagtanggal ng domain na may mga child domain

Mga yunit ng organisasyon - Sa prinsipyo, maaari silang tawaging mga subdomain. payagan ang pagpapangkat sa loob ng isang domain mga account user, user group, computer, share, printer at iba pang OU (Organizational Units). Ang praktikal na benepisyo ng kanilang paggamit ay ang posibilidad ng pagtatalaga ng mga karapatang pangasiwaan ang mga yunit na ito.

Sa madaling salita, maaari kang magtalaga ng isang administrator sa isang domain na maaaring pamahalaan ang OU, ngunit walang mga karapatang pangasiwaan ang buong domain.

Ang isang mahalagang tampok ng mga OU, hindi katulad ng mga grupo, ay ang kakayahang maglapat ng mga patakaran ng grupo sa kanila. "Bakit hindi mo mahati ang orihinal na domain sa maraming domain sa halip na gumamit ng OU?" – tanong mo.

Maraming eksperto ang nagpapayo na magkaroon ng isang domain kung maaari. Ang dahilan nito ay ang desentralisasyon ng administrasyon kapag lumilikha karagdagang domain, dahil ang mga administrator ng bawat naturang domain ay tumatanggap ng walang limitasyong kontrol (paalalahanan kita na kapag nagtalaga ng mga karapatan sa mga administrator ng OU, maaari mong limitahan ang kanilang paggana).

Bilang karagdagan dito, upang lumikha ng isang bagong domain (kahit isang bata) kakailanganin mo ng isa pang controller. Kung mayroon kang dalawang magkahiwalay na departamento na konektado ng isang mabagal na channel ng komunikasyon, maaaring magkaroon ng mga problema sa pagtitiklop. Sa kasong ito, mas angkop na magkaroon ng dalawang domain.

Mayroon ding isa pang nuance ng paggamit ng mga patakaran ng grupo: ang mga patakarang tumutukoy sa mga setting ng password at mga lockout ng account ay maaari lang ilapat sa mga domain. Para sa mga OU, binabalewala ang mga setting ng patakarang ito.

Mga website - Ito ay isang paraan upang pisikal na paghiwalayin ang isang serbisyo ng direktoryo. Sa pamamagitan ng kahulugan, ang isang site ay isang pangkat ng mga computer na konektado mabilis na mga channel paglilipat ng data.

Kung mayroon kang ilang mga sangay sa iba't ibang bahagi ng bansa, na konektado sa pamamagitan ng mababang bilis ng mga linya ng komunikasyon, pagkatapos ay para sa bawat sangay maaari kang lumikha ng iyong sariling website. Ginagawa ito upang madagdagan ang pagiging maaasahan ng pagtitiklop ng direktoryo.

Ang dibisyon ng AD na ito ay hindi nakakaapekto sa mga prinsipyo ng lohikal na konstruksyon, samakatuwid, kung paanong ang isang site ay maaaring maglaman ng ilang mga domain, at vice versa, ang isang domain ay maaaring maglaman ng ilang mga site. Ngunit mayroong isang catch sa topology ng serbisyo ng direktoryo na ito. Bilang isang patakaran, ang Internet ay ginagamit upang makipag-usap sa mga sangay - isang napaka-insecure na kapaligiran. Maraming mga kumpanya ang gumagamit ng mga hakbang sa seguridad tulad ng mga firewall. Gumagamit ang serbisyo ng direktoryo ng humigit-kumulang isang dosenang port at serbisyo sa trabaho nito, ang pagbubukas kung saan upang payagan ang trapiko ng AD na dumaan sa firewall ay talagang maglalantad dito "sa labas". Ang solusyon sa problema ay ang paggamit ng teknolohiya ng tunneling, gayundin ang pagkakaroon ng domain controller sa bawat site upang mapabilis ang pagproseso ng mga kahilingan ng AD client.

Ang lohika ng nesting ng mga bahagi ng serbisyo sa direktoryo ay ipinakita. Makikita na ang kagubatan ay naglalaman ng dalawang domain tree, kung saan ang root domain ng puno, sa turn, ay maaaring maglaman ng mga OU at grupo ng mga bagay, at mayroon ding mga child domain (sa sa kasong ito may isa para sa bawat isa). Ang mga child domain ay maaari ding maglaman ng mga object group at OU at may mga child domain (hindi ipinapakita sa figure). At iba pa. Hayaan mong ipaalala ko sa iyo na ang mga OU ay maaaring maglaman ng mga OU, mga bagay at grupo ng mga bagay, at ang mga grupo ay maaaring maglaman ng iba pang mga grupo.

Mga pangkat ng user at computer - ay ginagamit para sa mga layuning pang-administratibo at may parehong kahulugan tulad ng kapag ginamit sa mga lokal na makina sa network. Hindi tulad ng mga OU, hindi mailalapat ang mga patakaran ng grupo sa mga grupo, ngunit maaaring italaga ang kontrol para sa kanila. Sa loob Mga aktibong scheme Tinutukoy ng direktoryo ang dalawang uri ng mga pangkat: mga pangkat ng seguridad (ginagamit upang ibahin ang mga karapatan sa pag-access sa mga bagay sa network) at mga pangkat ng pamamahagi (pangunahing ginagamit para sa pamamahagi mga mensaheng mail, halimbawa, sa server Microsoft Exchange Server).

Nahahati sila ayon sa saklaw:

unibersal na mga grupo maaaring kabilang ang mga gumagamit sa loob ng kagubatan pati na rin ang iba pang unibersal na grupo o pandaigdigang mga grupo anumang domain sa kagubatan
pandaigdigang mga pangkat ng domain maaaring magsama ng mga user ng domain at iba pang pandaigdigang pangkat ng parehong domain
mga lokal na pangkat ng domain na ginagamit upang pag-iba-ibahin ang mga karapatan sa pag-access, maaaring magsama ng mga user ng domain, pati na rin ang mga unibersal na grupo at pandaigdigang grupo ng anumang domain sa kagubatan
mga lokal na pangkat ng computer– mga pangkat na naglalaman ng SAM (security account manager) lokal na makina. Ang kanilang saklaw ay limitado lamang sa isang partikular na makina, ngunit maaari nilang isama ang mga lokal na grupo ng domain kung saan matatagpuan ang computer, pati na rin ang mga pangkalahatan at pandaigdigang grupo ng kanilang sariling domain o iba pang pinagkakatiwalaan nila. Halimbawa, maaari kang magsama ng user mula sa isang domain lokal na grupo Ang mga gumagamit sa pangkat ng Mga Administrator ng lokal na makina, sa gayon ay nagbibigay sa kanya ng mga karapatan ng administrator, ngunit para lamang sa computer na ito

Alexander Emelyanov

Mga prinsipyo ng pagbuo ng mga domain ng Active Directory

Matagal nang kasama ang Active Directory sa kategorya ng mga konserbatibong prinsipyo ng lohikal na disenyo imprastraktura ng network. Ngunit maraming mga administrator ang patuloy na gumagamit ng mga workgroup at domain ng Windows NT sa kanilang trabaho. Ang pagpapatupad ng isang serbisyo sa direktoryo ay magiging kawili-wili at kapaki-pakinabang para sa parehong mga baguhan at may karanasan na mga administrador upang isentro ang pamamahala sa network at matiyak ang wastong antas ng seguridad.

Ang Active Directory, isang teknolohiya na lumitaw sa linya ng mga system ng Win2K anim na taon na ang nakakaraan, ay maaaring ilarawan bilang rebolusyonaryo. Sa mga tuntunin ng flexibility at scalability, ito ay isang order ng magnitude superior sa NT 4 na mga domain, hindi banggitin ang mga network na binubuo ng mga workgroup.

Mula nang ilabas ang AD, isang malaking bilang ng mga libro at publikasyon ang nai-publish sa mga paksa ng pagpaplano, disenyo ng topology, suporta sa domain, seguridad, atbp.

Nangangako ang mga kurso sa sertipikasyon ng Microsoft na sa loob ng 40 oras ay matututunan mo kung paano i-deploy ang iyong domain at matagumpay na pangasiwaan ito.

Hindi ako naniniwala. Ang pangangasiwa ay isang proseso na kinabibilangan ng maraming taon ng karanasan sa “full cones”, isang malaking halaga ng nabasang dokumentasyon (karamihan sa Ingles) at "matalik" na pag-uusap sa pamamahala at mga user.

May isa pang nuance - bago kumuha ng kurso sa pagpapatupad ng Active Directory, dapat ay matagumpay mong naipasa ang kurso sa pangangasiwa ng imprastraktura ng network batay sa Windows Server 2003, na nangangailangan din ng ilang gastos sa pananalapi sa bahagi ng mag-aaral. Muli kaming kumbinsido na hindi palalampasin ng Microsoft ang layunin nito. Ngunit hindi iyon ang tungkol dito...

Ang pag-aaral sa pagpapatupad ng AD ay hindi akma sa balangkas ng isang linggong kurso, lalo na ang isang publikasyon. Gayunpaman, armado ng karanasan ng mga nakaraang artikulo, susubukan naming malaman kung ano ang mahalagang serbisyo ng direktoryo, ano ang mga pangunahing subtleties ng pag-install nito at kung paano nito mapadali ang buhay ng isang administrator ng system.

Tingnan din natin kung ano ang bago sa Active Directory sa Paglabas ng Windows Server 2003.

Ito ay nagkakahalaga ng noting na sa huling quarter ng nakaraang taon Microsoft inilabas Windows Vista, at kasama nito ang isang na-update na serbisyo sa direktoryo. Gayunpaman, ang mga lumang teknolohiya ay hindi nawala ang kanilang kaugnayan hanggang sa araw na ito.

Sa artikulong ito, pupunta tayo mula sa pag-unawa sa kakanyahan ng AD hanggang sa paglikha ng sarili nating domain. Ang karagdagang pagsasaayos nito at pamamahala at mga diagnostic na tool ay sasaklawin sa mga sumusunod na isyu.

Paano Nakakatulong ang Active Directory

Narito ang isang bahagyang listahan ng lahat ng mga goodies na makukuha mo sa pamamagitan ng pag-deploy ng isang serbisyo sa direktoryo:

isang database ng pagpaparehistro ng solong user, na naka-imbak sa gitna sa isa o higit pang mga server; kaya, kapag lumitaw ang isang bagong empleyado sa opisina, kakailanganin mo lamang na lumikha ng isang account para sa kanya sa server at ipahiwatig kung aling mga workstation ang maaari niyang ma-access;
dahil na-index ang lahat ng mapagkukunan ng domain, ginagawa nitong posible para sa mga user na maghanap nang madali at mabilis; halimbawa, kung kailangan mong maghanap ng color printer sa departamento ng automation;
ang kumbinasyon ng paglalapat ng mga pahintulot sa NTFS, mga patakaran ng grupo at paglalaan ng kontrol ay magbibigay-daan sa iyo na ayusin at ipamahagi ang mga karapatan sa pagitan ng mga miyembro ng domain;
ginagawang posible ng roaming user profile na mag-imbak ng mahalagang impormasyon at mga setting ng configuration sa server; sa katunayan, kung ang isang user na may roaming na profile sa isang domain ay umupo para magtrabaho sa isa pang computer at ipinasok ang kanyang username at password, makikita niya ang kanyang desktop na may mga setting na pamilyar sa kanya;
gamit ang mga patakaran ng grupo, maaari mong baguhin ang mga setting ng mga operating system ng user, mula sa pagpayag sa user na magtakda ng wallpaper sa desktop hanggang sa mga setting ng seguridad, at ipamahagi din ang software sa network, halimbawa, Volume Shadow Copy client, atbp.;
Maraming mga programa (proxy server, database server, atbp.) na hindi lamang ginawa ng Microsoft ngayon ay natutong gumamit ng domain authentication, kaya hindi mo na kailangang gumawa ng isa pang user database, ngunit maaaring gumamit ng isang umiiral na;
Ang paggamit ng Remote Installation Services ay nagpapadali sa pag-install ng mga system sa mga workstation, ngunit, sa turn, ay gagana lamang kung ang serbisyo ng direktoryo ay ipinatupad.

Ang mga negatibong aspeto ng teknolohiyang ito ay lumilitaw sa proseso ng trabaho mula sa kamangmangan sa mga pangunahing kaalaman o mula sa isang hindi pagpayag na pumasok sa mga intricacies ng mga bahagi ng AD. Matutong lutasin nang tama ang mga umuusbong na problema, at mawawala ang lahat ng negatibiti.

Tutuon lamang ako sa katotohanan na ang lahat ng nasa itaas ay magiging wasto sa pagkakaroon ng isang homogenous na network batay sa pamilya ng Windows 2000 OS at mas mataas.

Logic ng konstruksiyon

Tingnan natin ang mga pangunahing bahagi ng isang serbisyo sa direktoryo.

Mga domain

Ito ang pangunahing lohikal na yunit ng konstruksiyon. Kung ikukumpara sa mga workgroup, ang mga AD domain ay mga pangkat ng seguridad na may isang base ng pagpaparehistro, habang ang mga workgroup ay isang lohikal na pagpapangkat ng mga makina. Gumagamit ang AD ng DNS (Domain Name Server) para sa pagbibigay ng pangalan at mga serbisyo sa paghahanap, sa halip na WINS (Windows Internet Name Service), tulad ng nangyari sa mga naunang bersyon ng NT. Kaya, ang mga pangalan ng mga computer sa domain ay kamukha, halimbawa, buh.work.com, kung saan ang buh ay ang pangalan ng computer sa work.com domain (bagama't hindi ito palaging nangyayari, basahin ang tungkol dito sa ibaba).

Gumagamit ang mga workgroup ng mga pangalan ng NetBIOS. Upang i-host ang istraktura ng AD domain, posibleng gumamit ng hindi Microsoft DNS server. Ngunit dapat itong tugma sa BIND 8.1.2 o mas mataas at sumusuporta sa mga SRV record (RFC 2052) pati na rin sa Dynamic Registration Protocol (RFC 2136). Ang bawat domain ay may hindi bababa sa isang domain controller na nagho-host sa gitnang database.

Mga puno

Ito ay mga multi-domain na istruktura. Ang ugat ng istrukturang ito ay ang pangunahing domain kung saan ka gumagawa ng mga child domain. Sa katunayan, ang Active Directory ay gumagamit ng hierarchical structure na katulad ng domain structure sa DNS.

Halimbawa, kung mayroon tayong domain na work.com (first-level domain) at gumawa tayo ng dalawang child domain para dito first.work.com at second.work.com (narito ang una at pangalawa ay mga second-level na domain, at hindi isang computer sa domain, tulad ng kaso na inilarawan sa itaas), mapupunta tayo sa isang domain tree (tingnan ang Fig. 1).

Tumutulong ang AD na awtomatikong lumikha ng mga ugnayan ng tiwala sa pagitan ng bawat domain at ng mga child domain nito.

Kaya, ang paglikha ng first.work.com na domain ay humahantong sa awtomatikong pagtatatag ng isang two-way na ugnayan ng tiwala sa pagitan ng magulang na work.com at ang child first.work.com (katulad din para sa second.work.com). Samakatuwid, maaaring ilapat ang mga pahintulot mula sa parent domain sa bata, at vice versa. Hindi mahirap ipagpalagay na magkakaroon din ng mga relasyon sa pagtitiwala para sa mga domain ng bata.

Ang isa pang pag-aari ng mga relasyon sa tiwala ay transitivity. Nakuha namin na ang isang ugnayang pinagkakatiwalaan ay nilikha para sa domain ng net.first.work.com na may domain ng work.com.

Mga kagubatan

Tulad ng mga puno, sila ay mga istrukturang multi-domain. Ngunit ang kagubatan ay isang koleksyon ng mga puno na may iba't ibang mga domain ng ugat.

Ipagpalagay na nagpasya kang magkaroon ng ilang domain na pinangalanang work.com at home.net at lumikha ng mga child domain para sa kanila, ngunit dahil ang tld (top level domain) ay wala sa ilalim ng iyong kontrol, sa kasong ito maaari kang mag-organisa ng kagubatan (tingnan ang . Fig. 2), pagpili ng isa sa mga unang antas na domain bilang ugat. Ang kagandahan ng paglikha ng kagubatan sa kasong ito ay ang two-way trust relationship sa pagitan ng dalawang domain na ito at ng kanilang child domain.

Gayunpaman, kapag nagtatrabaho sa mga kagubatan at puno, dapat mong tandaan ang mga sumusunod:

hindi ka maaaring magdagdag ng umiiral nang domain sa puno;
Ang isang umiiral na puno ay hindi maaaring isama sa kagubatan;
Kapag ang mga domain ay inilagay sa isang kagubatan, hindi na sila maaaring ilipat sa ibang kagubatan;
Hindi ka makakapagtanggal ng domain na may mga child domain.

Para sa higit pang malalim na impormasyon tungkol sa mga salimuot ng paggamit at pag-configure ng mga puno at kagubatan, maaari mong bisitahin ang Microsoft TechNet knowledge base at magpapatuloy kami.

Mga unit ng organisasyon (OU)

Maaari silang tawaging mga subdomain. Binibigyang-daan ka ng mga OU na magpangkat ng mga user account, pangkat ng user, computer, share, printer, at iba pang OU sa loob ng isang domain. Ang praktikal na benepisyo ng kanilang paggamit ay ang posibilidad ng pagtatalaga ng mga karapatang pangasiwaan ang mga yunit na ito.

Sa madaling salita, maaari kang magtalaga ng isang administrator sa isang domain na maaaring pamahalaan ang OU, ngunit walang mga karapatang pangasiwaan ang buong domain.

Ang isang mahalagang tampok ng mga OU, hindi tulad ng mga grupo (mag-unahan tayo ng kaunti), ay ang kakayahang maglapat ng mga patakaran ng grupo sa kanila. "Bakit hindi mo mahati ang orihinal na domain sa maraming domain sa halip na gumamit ng OU?" – tanong mo.

Maraming eksperto ang nagpapayo na magkaroon ng isang domain kung maaari. Ang dahilan nito ay ang desentralisasyon ng pangangasiwa kapag lumilikha ng karagdagang domain, dahil ang mga administrador ng bawat naturang domain ay tumatanggap ng walang limitasyong kontrol (paalalahanan ko kayo na kapag nagtalaga ng mga karapatan sa mga administrator ng OU, maaari mong limitahan ang kanilang paggana).

Mga pangkat ng user at computer

Ginagamit ang mga ito para sa mga layuning pang-administratibo at may parehong kahulugan tulad ng kapag ginamit sa mga lokal na makina sa isang network. Hindi tulad ng mga OU, hindi mailalapat ang mga patakaran ng grupo sa mga grupo, ngunit maaaring italaga ang kontrol para sa kanila. Sa loob ng scheme ng Active Directory, mayroong dalawang uri ng mga grupo: mga pangkat ng seguridad (ginagamit upang ibahin ang mga karapatan sa pag-access sa mga bagay sa network) at mga grupo ng pamamahagi (pangunahing ginagamit para sa pamamahagi ng mga mensaheng email, halimbawa, sa Microsoft Exchange Server).

Nahahati sila ayon sa saklaw:

unibersal na mga grupo maaaring magsama ng mga user sa loob ng kagubatan pati na rin ang iba pang unibersal na grupo o pandaigdigang grupo ng anumang domain sa kagubatan;
pandaigdigang mga pangkat ng domain maaaring magsama ng mga user ng domain at iba pang pandaigdigang pangkat ng parehong domain;
mga lokal na pangkat ng domain ginagamit upang ibahin ang mga karapatan sa pag-access, maaaring magsama ng mga gumagamit ng domain, pati na rin ang mga unibersal na grupo at pandaigdigang grupo ng anumang domain sa kagubatan;
mga lokal na pangkat ng computer– mga pangkat na naglalaman ng SAM (security account manager) ng lokal na makina. Ang kanilang saklaw ay limitado lamang sa isang partikular na makina, ngunit maaari nilang isama ang mga lokal na grupo ng domain kung saan matatagpuan ang computer, pati na rin ang mga pangkalahatan at pandaigdigang grupo ng kanilang sariling domain o iba pang pinagkakatiwalaan nila. Halimbawa, maaari mong isama ang isang user mula sa pangkat ng lokal na Mga User ng domain sa pangkat ng Mga Administrator ng lokal na makina, sa gayon ay binibigyan siya ng mga karapatan ng administrator, ngunit para lamang sa computer na ito.

Mga website

Ito ay isang paraan upang pisikal na paghiwalayin ang isang serbisyo ng direktoryo. Sa pamamagitan ng kahulugan, ang isang site ay isang pangkat ng mga computer na konektado sa pamamagitan ng mabilis na mga channel sa paglilipat ng data.

Halimbawa, kung mayroon kang ilang sangay sa iba't ibang bahagi ng bansa, na konektado sa pamamagitan ng mababang bilis ng mga linya ng komunikasyon, kung gayon para sa bawat sangay maaari kang lumikha ng iyong sariling website. Ginagawa ito upang madagdagan ang pagiging maaasahan ng pagtitiklop ng direktoryo.

Sa Fig. Ipinapakita ng Figure 3 ang nesting logic ng mga bahagi ng serbisyo ng direktoryo. Makikita na ang kagubatan ay naglalaman ng dalawang domain tree, kung saan ang root domain ng puno, sa turn, ay maaaring maglaman ng mga OU at grupo ng mga bagay, at mayroon ding mga child domain (sa kasong ito, isa para sa bawat isa). Ang mga child domain ay maaari ding maglaman ng mga object group at OU at may mga child domain (hindi ipinapakita sa figure). At iba pa. Hayaan mong ipaalala ko sa iyo na ang mga OU ay maaaring maglaman ng mga OU, mga bagay at grupo ng mga bagay, at ang mga grupo ay maaaring maglaman ng iba pang mga grupo. Magbasa nang higit pa tungkol sa nesting ng mga grupo at ang kanilang mga bahagi sa susunod na artikulo.

Directory Service Entity

Upang magbigay ng ilang antas ng seguridad, ang anumang operating system ay dapat may mga file na naglalaman ng database ng user. Sa mga naunang bersyon ng Windows NT, isang SAM (Security Accounts Manager) file ang ginamit para dito. Naglalaman ito ng mga kredensyal ng user at na-encrypt. Ngayon SAM ay ginagamit din sa mga operating system Pamilya NT 5 (Windows 2000 at mas mataas).

Kapag nag-promote ka ng isang miyembrong server sa isang domain controller gamit ang DCPROMO command (na talagang nagpapatakbo ng Directory Services Installation Wizard), ang subsystem Seguridad ng Windows Nagsisimula ang server 2000/2003 gamit ang isang sentralisadong database ng AD. Madali itong masuri - pagkatapos lumikha ng isang domain, subukang buksan ang Computer Management snap-in sa controller at hanapin doon " Mga lokal na gumagamit at mga grupo." Bukod dito, subukang mag-log in sa server na ito gamit ang isang lokal na account. Malabong magtatagumpay ka.

Karamihan sa data ng user ay nakaimbak sa NTDS.DIT (Directory Information Tree) file. Ang NTDS.DIT ay isang binagong database. Ito ay nilikha gamit ang parehong teknolohiya bilang base data ng Microsoft Access. Ang mga algorithm ng pagpapatakbo ng domain controller ay naglalaman ng isang variant ng JET database engine I-access ang data, na tinawag na ESE (Extensible Storage Engine - extensible storage engine). Ang NTDS.DIT at ang mga serbisyong nakikipag-ugnayan sa file na ito ay talagang isang serbisyo sa direktoryo.

Ang istraktura ng pakikipag-ugnayan sa pagitan ng mga kliyente ng AD at ng pangunahing data store, katulad ng namespace ng serbisyo ng direktoryo, ay ipinakita sa artikulo. Upang makumpleto ang paglalarawan, dapat na banggitin ang paggamit ng mga global identifier. Ang Global Unique Identifier (GUID) ay isang 128-bit na numero na nauugnay sa bawat bagay kapag nilikha ito upang matiyak ang pagiging natatangi. Maaaring baguhin ang pangalan ng object ng AD, ngunit mananatiling hindi magbabago ang GUID.

Global catalog

Tiyak na napansin mo na ang istraktura ng AD ay maaaring maging napaka-kumplikado at naglalaman malaking bilang mga bagay. Isipin lang ang katotohanan na ang isang AD domain ay maaaring magsama ng hanggang 1.5 milyong mga bagay. Ngunit maaari itong magdulot ng mga isyu sa pagganap kapag nagsasagawa ng mga operasyon. Ang problemang ito ay nalutas gamit ang Global Catalog (GC). Naglalaman ito ng pinaikling bersyon ng buong AD forest, na tumutulong na mapabilis ang mga paghahanap ng bagay. Ang may-ari ng pandaigdigang catalog ay maaaring mga domain controller na espesyal na itinalaga para sa layuning ito.

Mga tungkulin ng FSMO

Sa AD meron tiyak na listahan mga operasyon na maaari lamang gawin ng isang controller. Ang mga ito ay tinatawag na mga tungkulin ng FSMO (Flexible Single-Master Operations). Mayroong kabuuang 5 tungkulin ng FSMO sa AD. Tingnan natin ang mga ito nang mas detalyado.

Sa loob ng kagubatan, dapat mayroong garantiya na ang mga domain name ay natatangi kapag nagdaragdag ng bagong domain sa kagubatan ng mga domain. Ang garantiyang ito ay ibinibigay ng Domain Naming Master. Isinasagawa ng Schema Master ang lahat ng pagbabago sa schema ng direktoryo. Ang mga tungkulin ng May-ari ng Domain Name at May-ari ng Schema ay dapat na natatangi sa loob ng domain forest.

Tulad ng sinabi ko na, kapag ang isang bagay ay nilikha, ito ay nauugnay sa isang pandaigdigang identifier, na ginagarantiyahan ang pagiging natatangi nito. Iyon ang dahilan kung bakit ang controller na responsable para sa pagbuo ng mga GUID at pagkilos bilang may-ari ng mga kamag-anak na pagkakakilanlan (Relative ID Master) ay dapat na isa lamang sa loob ng domain.

Hindi tulad ng mga NT domain, AD ay walang konsepto ng PDC at BDC (pangunahin at backup na mga controller ng domain). Isa sa mga tungkulin ng FSMO ay PDC Emulator (Primary Domain Controller Emulator). Server sa ilalim Kontrol sa Windows Ang NT Server ay maaaring kumilos bilang isang backup na domain controller sa AD. Ngunit alam na ang mga domain ng NT ay maaari lamang gumamit ng isang pangunahing controller. Iyon ang dahilan kung bakit ginawa ito ng Microsoft na sa loob ng isang AD domain ay maaari tayong magtalaga ng isang server upang pasanin ang tungkulin ng PDC Emulator. Kaya, pag-alis mula sa terminolohiya, maaari nating pag-usapan ang pagkakaroon ng isang pangunahing at backup na mga controllers ng domain, ibig sabihin ang may-ari Mga tungkulin ng FSMO.

Kapag ang mga bagay ay tinanggal o inilipat, ang isa sa mga controllers ay dapat magpanatili ng isang reference sa bagay na iyon hanggang sa makumpleto ang pagtitiklop. Ang papel na ito ay ginagampanan ng may-ari ng imprastraktura ng direktoryo (Infrastructure Master).

Ang huling tatlong tungkulin ay nangangailangan ng gumaganap na maging natatangi sa loob ng domain. Ang lahat ng mga tungkulin ay itinalaga sa unang controller na ginawa sa kagubatan. Kapag gumagawa ng isang branched na imprastraktura ng AD, maaari mong italaga ang mga tungkuling ito sa iba pang mga controller. Ang mga sitwasyon ay maaari ding lumitaw kapag ang may-ari ng isa sa mga tungkulin ay hindi magagamit (ang server ay nabigo). Sa kasong ito, kinakailangan upang maisagawa ang pagpapatakbo ng pagkuha ng papel ng FSMO gamit ang NTDSUTIL utility (pag-uusapan natin ang tungkol sa paggamit nito sa mga sumusunod na artikulo). Ngunit mag-ingat dahil kapag kinuha mo ang isang tungkulin, ipinapalagay iyon ng serbisyo ng direktoryo dating may-ari hindi, at hindi siya tinutugunan sa lahat. Ang pagbabalik ng dating may hawak ng tungkulin sa network ay maaaring humantong sa pagkagambala sa paggana nito. Ito ay lalong kritikal para sa may-ari ng schema, may-ari ng domain name, at may-ari ng pagkakakilanlan.

Tulad ng para sa pagganap: ang papel ng emulator ng pangunahing domain controller ay ang pinaka-hinihingi sa mga mapagkukunan ng computer, kaya maaari itong italaga sa isa pang controller. Ang natitirang mga tungkulin ay hindi masyadong hinihingi, kaya kapag ipinamahagi ang mga ito, maaari kang magabayan ng mga nuances ng lohikal na pagtatayo ng iyong AD diagram.

Ang huling hakbang ng theorist

Ang pagbabasa ng artikulo ay hindi dapat ilipat ka mula sa mga teorista patungo sa mga practitioner. Dahil hangga't hindi mo isinasaalang-alang ang lahat ng mga kadahilanan mula sa pisikal na paglalagay ng mga node ng network hanggang sa lohikal na pagtatayo ng buong direktoryo, hindi ka dapat bumaba sa negosyo at bumuo ng isang domain na may mga simpleng sagot sa mga tanong ng AD installation wizard. Isipin kung ano ang itatawag sa iyong domain at, kung gagawa ka ng mga bata para dito, kung paano sila papangalanan. Kung mayroong ilang mga segment sa network na konektado sa pamamagitan ng hindi mapagkakatiwalaang mga channel ng komunikasyon, isaalang-alang ang paggamit ng mga site.

Bilang gabay sa pag-install ng AD, maaari kong irekomenda ang paggamit ng mga artikulo at, pati na rin ang Microsoft knowledge base.

Sa wakas, ilang mga tip:

Subukan, kung maaari, na huwag pagsamahin ang mga tungkulin ng PDC Emulator at proxy server sa parehong makina. Una, sa isang malaking bilang ng mga makina sa network at mga gumagamit ng Internet, ang pag-load sa server ay tumataas, at pangalawa, sa isang matagumpay na pag-atake sa iyong proxy, hindi lamang ang Internet, kundi pati na rin ang pangunahing domain controller ay "huhulog", at ito ay puno maling gawain ang buong network.
Kung palagi kang nangangasiwa lokal na network Kung hindi mo ipapatupad ang Active Directory para sa mga customer, magdagdag ng mga machine sa domain nang paunti-unti, halimbawa, apat o lima bawat araw. Dahil kung mayroon kang malaking bilang ng mga makina sa iyong network (50 o higit pa) at pinamamahalaan mo ito nang mag-isa, malamang na hindi mo ito mapangasiwaan kahit sa katapusan ng linggo, at kahit na pamahalaan mo ito, hindi alam kung gaano katama ang lahat. . Bilang karagdagan, upang makipagpalitan ng dokumentasyon sa loob ng network, maaari mong gamitin ang file o panloob mail server(Inilarawan ko ito sa No. 11, 2006). Ang tanging bagay sa kasong ito ay upang maunawaan nang tama kung paano i-configure ang mga karapatan ng gumagamit upang ma-access ang file server. Dahil kung, halimbawa, hindi ito kasama sa domain, isasagawa ang pagpapatunay ng user batay sa mga talaan lokal na base SAM. Walang data tungkol sa mga gumagamit ng domain. Gayunpaman, kung ang iyong file server ay isa sa mga unang machine na kasama sa AD at hindi isang domain controller, magiging posible na mapatotohanan sa pamamagitan ng lokal na database ng SAM at database ng AD account. Ngunit para sa huling pagpipilian ay kakailanganin mo mga lokal na setting seguridad na payagan (kung hindi pa ito nagagawa) ng access sa file server sa network para sa parehong mga miyembro ng domain at mga lokal na account.

TUNGKOL SA karagdagang pagpapasadya Mga serbisyo sa direktoryo (paggawa at pamamahala ng mga account, pagtatalaga ng mga patakaran ng grupo, atbp.) basahin ang susunod na artikulo.

Aplikasyon

Ano ang Bago sa Active Directory sa Windows Server 2003

Sa paglabas ng Windows Server 2003, ang mga sumusunod na pagbabago ay lumitaw sa Active Directory:

Naging posible na palitan ang pangalan ng isang domain pagkatapos itong magawa.
Improved user interface pamamahala. Halimbawa, maaari mong baguhin ang mga katangian ng ilang mga bagay nang sabay-sabay.
Nagpakita magandang lunas pamamahala ng patakaran ng grupo – Group Policy Management Console (gpmc.msc, dapat itong ma-download mula sa website ng Microsoft).
Ang domain at mga antas ng functional na kagubatan ay nagbago.

TUNGKOL SA huling pagbabago kailangang sabihin nang mas detalyado. Ang AD domain sa Windows Server 2003 ay matatagpuan sa isa sa susunod na mga antas, nakalista sa pagkakasunud-sunod ng pagtaas ng functionality:

Windows 2000 Mixed (mixed Windows 2000). Pinapayagan na magkaroon ng mga controllers iba't ibang bersyon– parehong Windows NT at Windows 2000/2003. Bukod dito, kung ang mga server ng Windows 2000/2003 ay may pantay na karapatan, kung gayon ang NT server, tulad ng nabanggit na, ay maaari lamang kumilos backup na controller domain.
Windows 2000 Native (natural na Windows 2000). Pinapayagan na magkaroon ng mga controller na nagpapatakbo ng Windows Server 2000/2003. Ang antas na ito ay mas functional, ngunit may mga limitasyon nito. Halimbawa, hindi mo magagawang palitan ang pangalan ng mga controllers ng domain.
Windows Server 2003 Interim (intermediate Windows Server 2003). Pinapayagan na magkaroon ng mga controller na nagpapatakbo ng Windows NT, pati na rin ang Windows Server 2003. Ginagamit, halimbawa, kapag tumatakbo ang pangunahing domain controller Windows server Ina-update ang NT sa W2K3. Ang antas ay may bahagyang higit na pag-andar kaysa Antas ng Windows 2000 Katutubo.
Windows Server 2003. Ang mga controller lamang na nagpapatakbo ng Windows Server 2003 ang pinapayagan sa domain Sa antas na ito, maaari mong samantalahin ang lahat ng mga kakayahan ng serbisyo Mga direktoryo ng Windows Server 2003.

Ang mga functional na antas ng isang domain forest ay mahalagang kapareho ng para sa mga domain. Ang tanging pagbubukod ay mayroon lamang isang antas ng Windows 2000 kung saan posible na gumamit ng mga controller na nagpapatakbo ng Windows NT, pati na rin ang Windows Server 2000/2003, sa kagubatan.

Ito ay nagkakahalaga ng noting na ang pagbabago ng functional na antas ng isang domain at kagubatan ay isang hindi maibabalik na operasyon. Ibig sabihin, walang backward compatibility.

Korobko I. Active Directory - teorya ng konstruksiyon. //« Administrator ng system", No. 1, 2004 – pp. 90-94. ().
Markov R. Mga Domain ng Windows 2000/2003 – abandonahin grupong nagtatrabaho. //"System Administrator", No. 9, 2005 – pp. 8-11. ().
Markov R. Pag-install at pag-configure ng Windows 2K Server. //"System Administrator", No. 10, 2004 - pp. 88-94. ().

Active Directory - Serbisyo ng direktoryo ng Microsoft para sa OS Pamilya sa Windows N.T.

Ang serbisyong ito nagbibigay-daan sa mga administrator na gumamit ng mga patakaran ng grupo upang matiyak ang pagkakapare-pareho sa mga setting ng user kapaligiran sa pagtatrabaho, pag-install ng software, mga update, atbp.

Ano ang kakanyahan ng Active Directory at anong mga problema ang nalulutas nito? Magbasa pa.

Mga prinsipyo ng pag-aayos ng mga peer-to-peer at multi-peer na network

Ngunit ang isa pang problema ay lumitaw, paano kung ang user2 sa PC2 ay nagpasya na baguhin ang kanyang password? Pagkatapos kung binago ng user1 ang password ng account, hindi maa-access ng user2 sa PC1 ang mapagkukunan.

Isa pang halimbawa: mayroon kaming 20 workstation na may 20 account kung saan gusto naming magbigay ng access sa isang partikular na .

Paano kung hindi 20 kundi 200 sila?

Tulad ng naiintindihan mo, ang pangangasiwa ng network na may ganitong paraan ay nagiging ganap na impiyerno.

Samakatuwid, ang diskarte sa workgroup ay angkop para sa maliliit mga network ng opisina na may bilang ng mga PC na hindi hihigit sa 10 mga yunit.

Kung mayroong higit sa 10 mga workstation sa network, ang diskarte kung saan ang isang network node ay itinalaga ng mga karapatang magsagawa ng pagpapatunay at awtorisasyon ay magiging makatwiran.

Ang node na ito ay ang domain controller - Active Directory.

Kontroler ng Domain

Ang controller ay nag-iimbak ng isang database ng mga account, i.e. nag-iimbak ito ng mga account para sa parehong PC1 at PC2.

Ngayon ang lahat ng mga account ay nakarehistro nang isang beses sa controller, at ang pangangailangan para sa mga lokal na account ay nagiging walang kabuluhan.

Ngayon, kapag nag-log in ang isang user sa isang PC, ipinapasok ang kanyang username at password, ang data na ito ay ipinadala sa pribadong anyo sa controller ng domain, na nagsasagawa ng mga pamamaraan ng pagpapatunay at pagpapahintulot.

Pagkatapos, ang controller ay nag-isyu sa gumagamit na naka-log in ng isang bagay tulad ng isang pasaporte, kung saan siya pagkatapos ay gumagana sa network at kung saan siya ay nagpapakita sa kahilingan ng iba pang mga network computer, mga server kung saan ang mga mapagkukunan ay nais niyang kumonekta.

Mahalaga! Ang domain controller ay isang computer na nagpapatakbo ng Active Directory na kumokontrol sa access ng user sa mga mapagkukunan ng network. Nag-iimbak ito ng mga mapagkukunan (hal. mga printer, nakabahaging folder), mga serbisyo (hal. email), mga tao (mga account ng user at user group), mga computer (mga computer account).

Ang bilang ng mga naturang nakaimbak na mapagkukunan ay maaaring umabot sa milyon-milyong mga bagay.

Ang mga sumusunod na bersyon ng MS Windows ay maaaring kumilos bilang isang domain controller: Windows Server 2000/2003/2008/2012 maliban sa Web-Edition.

Ang domain controller, bilang karagdagan sa pagiging ang authentication center para sa network, ay din ang control center para sa lahat ng mga computer.

Kaagad pagkatapos i-on, ang computer ay nagsisimulang makipag-ugnayan sa domain controller, bago pa man lumitaw ang window ng pagpapatunay.

Kaya, hindi lamang ang user na pumapasok sa login at password ay napatotohanan, kundi pati na rin ang computer ng kliyente.

Pag-install ng Active Directory

Tingnan natin ang isang halimbawa Mga aktibong pag-install Direktoryo sa Windows Server 2008 R2. Kaya, upang i-install ang papel na Active Directory, pumunta sa "Server Manager":

Idagdag ang tungkuling "Magdagdag ng Mga Tungkulin":

Piliin ang tungkulin ng Active Directory Domain Services:

At simulan natin ang pag-install:

Pagkatapos nito ay nakatanggap kami ng window ng notification tungkol sa naka-install na tungkulin:

Pagkatapos i-install ang domain controller role, magpatuloy tayo sa pag-install ng controller mismo.

I-click ang "Start" sa field ng paghahanap ng programa, ipasok ang pangalan ng DCPromo wizard, ilunsad ito at lagyan ng check ang kahon para sa mga advanced na setting ng pag-install:

I-click ang “Next” at piliing lumikha ng bagong domain at kagubatan mula sa mga opsyong inaalok.

Ilagay ang domain name, halimbawa, example.net.

Sinusulat namin ang pangalan ng domain ng NetBIOS, nang walang zone:

Piliin ang functional level ng aming domain:

Dahil sa mga kakaibang katangian ng paggana ng domain controller, nag-install din kami ng DNS server.

Ang teknolohiyang Active Directory (AD) ay isang serbisyo sa direktoryo na nilikha ng Microsoft. Ang isang serbisyo ng direktoryo ay naglalaman ng data sa isang organisadong format at nagbibigay ng organisadong pag-access dito. Ang Active Directory ay hindi isang imbensyon ng Microsoft, ngunit isang pagpapatupad ng isang umiiral na modelong pang-industriya (ibig sabihin, X.500), protocol ng komunikasyon(LDAP - Lightweight Directory Access Protocol) at data retrieval technologies (mga serbisyo ng DNS).

Ang pag-aaral tungkol sa Active Directory ay dapat magsimula sa pamamagitan ng pag-unawa sa layunin ng teknolohiyang ito. Sa pangkalahatan, ang isang direktoryo ay isang lalagyan para sa pag-iimbak ng data.

Ang isang direktoryo ng telepono ay isang magandang halimbawa ng isang serbisyo ng direktoryo dahil naglalaman ito ng isang set ng data at nagbibigay ng kakayahang makuha ang kinakailangang impormasyon mula sa direktoryo. Ang direktoryo ay naglalaman ng iba't ibang mga entry, bawat isa ay may eigenvalue, halimbawa, mga pangalan/apelyido ng mga subscriber, address ng kanilang tahanan at, sa katunayan, numero ng telepono. Sa isang pinahabang direktoryo, ang mga entry ay pinagsama ayon sa heyograpikong lokasyon, uri, o pareho. Sa ganitong paraan, maaaring mabuo ang isang hierarchy ng mga uri ng talaan para sa bawat heyograpikong lokasyon. Bukod, operator ng telepono umaangkop din sa kahulugan ng isang serbisyo sa direktoryo dahil mayroon itong access sa data. Samakatuwid, kung magbibigay ka ng kahilingan upang makakuha ng anumang data ng direktoryo, ibibigay ng operator ang kinakailangang tugon sa natanggap na kahilingan.

Serbisyo Mga aktibong direktoryo Ang direktoryo ay idinisenyo upang mag-imbak ng impormasyon tungkol sa lahat mga mapagkukunan ng network. Ang mga kliyente ay may kakayahang mag-query sa Active Directory upang makakuha ng impormasyon tungkol sa anumang bagay sa network. Kasama sa mga feature ng Active Directory ang mga sumusunod:

Secure na imbakan ng data. Ang bawat bagay sa Active Directory ay mayroon sariling listahan access control (ACL), na naglalaman ng isang listahan ng mga mapagkukunan na nabigyan ng access sa isang object, pati na rin ang isang paunang natukoy na antas ng access sa object na iyon.
Isang query engine na mayaman sa tampok na batay sa Active Directory na ginawang global catalog (GC). Maa-access ng lahat ng kliyenteng sumusuporta sa Active Directory ang direktoryo na ito.
Ang pagkopya ng data ng direktoryo sa lahat ng mga controller ng domain ay pinapasimple ang pag-access sa impormasyon, pinapahusay ang availability, at pinapabuti ang pagiging maaasahan ng pangkalahatang serbisyo.
Isang modular extension na konsepto na nagbibigay-daan sa iyong magdagdag ng mga bagong uri ng bagay o palawigin ang mga umiiral na bagay. Halimbawa, maaari mong idagdag ang attribute na "salary" sa object na "user".
Komunikasyon sa network gamit ang maramihang mga protocol. Ang Active Directory ay batay sa modelong X.500, na sumusuporta sa iba't-ibang mga protocol ng network hal LDAP 2, LDAP 3 at HTTP.
Upang ipatupad ang mga serbisyo sa pagpapangalan at paghahanap ng domain controller mga address ng network Ginagamit ang serbisyo ng DNS sa halip na NetBIOS.

Ang impormasyon ng direktoryo ay ipinamamahagi sa buong domain, sa gayon ay maiiwasan ang labis na pagdoble ng data.

Bagama't ang Active Directory ay namamahagi ng impormasyon ng direktoryo sa iba't ibang mga tindahan, may kakayahan ang mga user na mag-query sa Active Directory para sa impormasyon tungkol sa iba pang mga domain. Global catalog naglalaman ng impormasyon tungkol sa lahat ng bagay sa isang enterprise forest, na tumutulong sa iyong maghanap ng data sa buong kagubatan.

Kapag sinimulan mo ang DCPROMO utility (program para sa pagpapabuti regular na server sa isang domain controller) sa isang Windows computer upang lumikha ng isang bagong domain, ang utility ay lumilikha ng domain sa DNS server. Pagkatapos ay makikipag-ugnayan ang kliyente sa DNS server upang makakuha ng impormasyon tungkol sa domain nito. DNS Server nagbibigay ng impormasyon hindi lamang tungkol sa domain, kundi pati na rin tungkol sa pinakamalapit na domain controller. Ang client system, sa turn, ay kumokonekta sa Active Directory domain database sa pinakamalapit na domain controller upang mahanap ang mga kinakailangang bagay (mga printer, file server, user, grupo, organisasyonal na unit) na bahagi ng domain. Dahil ang bawat domain controller ay nag-iimbak ng mga reference sa iba pang mga domain sa tree, maaaring hanapin ng kliyente ang buong domain tree.

Available ang lasa ng Active Directory na naglilista ng lahat ng bagay sa isang domain forest kapag kailangan mong maghanap ng data sa labas ng domain tree ng kliyente. Ang bersyon na ito ay tinatawag na isang global catalog. Ang pandaigdigang catalog ay maaaring maimbak sa anumang domain controller sa AD forest.

Nagbibigay ang global catalog mabilis na pag-access sa bawat bagay na matatagpuan sa kagubatan ng domain, ngunit sa parehong oras ay naglalaman lamang ng ilang mga parameter ng bagay. Upang makuha ang lahat ng katangian, dapat kang makipag-ugnayan sa serbisyo ng Active Directory ng target na domain (ang controller ng domain ng interes). Maaaring i-configure ang global catalog upang maibigay ang mga kinakailangang katangian ng object.

Upang gawing simple ang proseso ng paglikha ng mga Active object Controller ng direktoryo domain ay naglalaman ng kopya at hierarchy ng klase para sa buong kagubatan. Ang Active Directory ay naglalaman ng mga istruktura ng klase sa isang napapalawak na schema kung saan maaaring magdagdag ng mga bagong klase.

Schema ay bahagi ng Windows configuration namespace na sinusuportahan ng lahat ng domain controllers sa kagubatan. Ang Windows configuration namespace ay binubuo ng ilan mga elemento ng istruktura gaya ng pisikal na lokasyon, mga site ng Windows, at mga subnet.

Site ay nakapaloob sa loob ng isang kagubatan at maaaring pag-isahin ang mga computer mula sa anumang domain, at lahat ng mga computer sa site ay dapat mayroong mabilis at maaasahan mga koneksyon sa network para i-back up ang data ng controller ng domain.

Subnet ay isang pangkat ng mga IP address na inilalaan sa isang site. Binibigyang-daan ka ng mga subnet na pabilisin ang pagtitiklop ng data ng Active Directory sa pagitan ng mga controller ng domain.

Active Directory - Ang pinalawak at nasusukat na serbisyo ng direktoryo ng Active Directory ay nagbibigay-daan sa iyo na epektibong pamahalaan ang mga mapagkukunan ng network.
Aktibong Direktoryo ay isang hierarchically organized repository ng data tungkol sa network objects, na nagbibigay ng maginhawang paraan para sa paghahanap at paggamit ng data na ito. Ang computer na nagpapatakbo ng Active Directory ay tinatawag na domain controller. Halos lahat ng mga gawaing pang-administratibo ay nauugnay sa Active Directory.
Nakabatay ang teknolohiyang Active Directory sa karaniwang Internet- mga protocol at tumutulong upang malinaw na tukuyin ang istraktura ng network magbasa nang higit pa tungkol sa kung paano mag-deploy ng isang Active Directory na domain mula sa simula dito.

Aktibong Direktoryo at DNS

Ginagamit ng Active Directory sistema ng domain mga pangalan

Sa tulong Mga aktibong serbisyo Gumagawa ang Directory ng mga computer account, ikinokonekta ang mga ito sa domain, namamahala ng mga computer, domain controller at mga yunit ng organisasyon(OP).

Para sa Aktibong kontrol Nagbibigay ang direktoryo ng mga tool sa pangangasiwa at suporta. Ang mga tool na nakalista sa ibaba ay ipinatupad din bilang MMC console snap-in ( Pamamahala ng Microsoft Console):

Aktibong Direktoryo - pinapayagan ka ng mga user at computer (Mga Gumagamit at Computer ng Active Directory) na pamahalaan ang mga user, grupo, computer at unit ng organisasyon (OU);

Aktibong Direktoryo - ang mga domain at pinagkakatiwalaan (Mga Aktibong Direktoryo na Domain at Mga Tiwala) ay ginagamit upang gumana sa mga domain, puno ng domain at kagubatan ng domain;

Nagbibigay-daan sa iyo ang Mga Site at Serbisyo ng Active Directory na pamahalaan ang mga site at subnet;

Ang Result na Set ng Patakaran ay ginagamit upang tingnan ang kasalukuyang patakaran ng isang user o system at mag-iskedyul ng mga pagbabago sa patakaran.

SA Microsoft Windows 2003 Server, maaari mong ma-access ang mga snap-in na ito nang direkta mula sa Administrative Tools menu.

Ang isa pang tool na pang-administratibo, ang snap-in ng Active Directory Schema, ay nagbibigay-daan sa iyong pamahalaan at baguhin ang schema ng direktoryo.

May mga tool para sa pamamahala ng mga object ng Active Directory command line, na nagbibigay-daan sa iyong magsagawa ng malawak na hanay ng mga gawaing pang-administratibo:

DSADD - nagdaragdag ng mga computer, contact, grupo, OU at user sa Active Directory.

DSGET - nagpapakita ng mga katangian ng mga computer, contact, grupo, OU, user, site, subnet at server na nakarehistro sa Active Directory.

DSMOD - binabago ang mga katangian ng mga computer, contact, grupo, OP, user at server na nakarehistro sa Active Directory.

DSMOVE - Inilipat ang isang bagay sa isang bagong lokasyon sa loob ng isang domain o pinapalitan ang pangalan ng bagay nang hindi ito ginagalaw.

DSQXJERY - naghahanap ng mga computer, contact, grupo, OP, user, site, subnet at server sa Active Directory ayon sa tinukoy na pamantayan.

DSRM - inaalis ang isang bagay mula sa Active Directory.

NTDSUTIL - nagbibigay-daan sa iyo upang tingnan ang impormasyon tungkol sa isang site, domain o server, pamahalaan ang mga master ng pagpapatakbo at mapanatili ang database ng Active Directory.